WW

W.

IN

CE

NT

EA

.C

OM

|

2

01

9

Coimas RGPD

Exemplos de casos reais

RGPD em Números (fev 2019)

De acordo com a informação recolhida junto do European Data Protection Board (EDPB) foram reportadas nos vários países do Espaço Económico Europeu (EEE) 94.622 queixas, 64.684 violações de dados pessoais, 47.020 de outro tipo de anomalias relacionadas com a privacidade num total de 206.326 casos de proteção de dados, dos quais, 52% estão dados como encerrados, 47% sob investigação e 1% em recurso, tendo sido aplicado um total de €55, 995,871 em coimas.

No caso específico português, a CNPD já aplicou 4 coimas no montante total de €420,000 e informa que foram abertos 768 processos de averiguação, que tiveram origem em queixas, participações de autoridades e iniciativa da própria autoridade de fiscalização estando vários processos a decorrer, que muito previsivelmente poderão redundar na aplicação de coima.

Dinamarca

VIOLAÇÃO: Deficiente pseudonimização. Não respeito pelo princípio da minimização. Dados pessoais conservados sem uma finalidade

determinada, explícita e legitima.

VALOR: 1,2 milhões de coroas dinamarquesas (2,8% do volume anual de negócios).

DATA: 27 de março 2019.

FONTE: https://news.bloomberglaw.com/privacy-and-data-security/denmark-recommends-first-fine-under-new-eu-privacy-law

AUTORIDADE DE CONTROLO: Data Protection Authority Datatilsynet (DPA).

EMPRESA: https://www.taxa.dk/

CENÁRIO: A TAXA 4x35 pseudonimiza as informações dos clientes depois de dois anos, mas a autoridade descobriu que havia apenas

excluído os nomes dos clientes, mantendo os números de telefone por mais três anos para salvaguardar a integridade referencial da base de

dados. Para a DPA “não se pode definir um prazo de apagamento que seja três anos mais longo que o necessário, simplesmente porque o

sistema informático da empresa dificulta o cumprimento das regras”. A TAXA 4x35 apagou o nome dos clientes, mas os mesmos continuavam

identificáveis através do número de telefone.

Polónia

VIOLAÇÃO: Não cumprimento do artigo 14º do RGPD “Informações a facultar quando os dados pessoais não são recolhidos junto do titular”.

VALOR: €220,000 (duzentos e vinte mil euros).

DATA: 26 de março 2019.

FONTE: https://uodo.gov.pl/en/553/1009

AUTORIDADE DE CONTROLO: Personal Data Protection Office (UODO).

EMPRESA: https://www.bisnode.com/

CENÁRIO: Uma empresa de marketing digital sediada na Suécia, mas com escritório na Polónia, a BISNODE, recorre à extração de contactos

de páginas web de domínio público tendo recolhido endereços postais de 6 milhões de pessoas e endereços de email de cerca de 679 mil

pessoas. Para os que tinham endereço de correio eletrónico informou-os dando cumprimento ao artigo 14º, não o tendo feito para os que não

tinham.

Portugal

VIOLAÇÃO: Não cumprimento do artigo 15º do RGPD “Direito de acesso”.

VALOR: €20,000 (vinte mil euros).

DATA: 24 de fevereiro 2019.

FONTE: https://www.publico.pt/2019/02/24/sociedade/noticia/notificadas-222-violacoes-dados-pessoais-nove-meses-1863162

AUTORIDADE DE CONTROLO: CNPD

EMPRESA: Não identificada.

CENÁRIO: Uma empresa recusou-se a dar acesso à gravação de uma chamada a um cidadão.

Alemanha

VIOLAÇÃO: Não cumprimento do artigo 32º 1 a) do RGPD.

VALOR: €20,000 (vinte mil euros).

DATA: 27 de novembro 2018

FONTE: https://www.welivesecurity.com/2018/11/27/german-chat-site-faces-fine-gdpr/

AUTORIDADE DE CONTROLO:

EMPRESA: https://www.knuddels.de/

CENÁRIO: A plataforma social Knuddels armazenava as palavras-passe dos utilizadores em “clear text” sem hashing, ou seja, sem qualquer

proteção de segurança.

Portugal

VIOLAÇÃO: Violação do princípio da integridade e confidencialidade. Violação do princípio da minimização de dados. Violação do princípio da

responsabilidade.

VALOR: €400,000 (quatrocentos mil euros).

DATA: 19 de outubro 2018.

FONTE: http://exameinformatica.sapo.pt/noticias/mercados/2018-10-19-CNPD-Hospital-do-Barreiro-multado-em-400-mil-euros-por-permitir-

acessos-indevidos-a-processos-clinicos

AUTORIDADE DE CONTROLO: CNPD

EMPRESA: Centro Hospitalar Almada e Barreiro

CENÁRIO: Inexistência de regras internas para a criação de contas ou para os diferentes níveis de acesso à informação clínica. Não garantir

que as contas de médicos que já não estão a trabalhar no Barreiro são eliminadas. Profissionais com funções na área dos serviços sociais

dispor de acessos que devem ser da exclusividade dos médicos. Não aplicar as medidas técnicas e organizativas indispensáveis à identificação

e autenticação dos utilizadores, bem como à gestão e delimitação dos seus perfis de acesso à informação, estratificando-os de acordo com os

diferentes privilégios de acesso correspondentes às categorias profissionais dos seus trabalhadores e ainda à garantia da segurança da

informação, para além de lhe não dispor de um sistema de auditoria fiável de tais identificações, acessos e garantias de segurança.

Áustria

VIOLAÇÃO: Monitorização do espaço público.

VALOR: €4800,00 (quatro mil e oitocentos euros).

DATA: 19 de setembro 2018

FONTE: https://www.pressreader.com/austria/salzburger-nachrichten/20180919/281801399873241

AUTORIDADE DE CONTROLO: Austrian Data Protection Authority (DSB).

EMPRESA: Não identificada.

CENÁRIO: Um comerciante local tinha uma câmara de CCTV a capturar demasiado espaço público.

Qual será a próxima?

VIOLAÇÃO:

VALOR:

DATA:

FONTE:

AUTORIDADE DE CONTROLO:

EMPRESA:

CENÁRIO:

W W W . I N C E N T E A . C O M

Nós podemos ajudar.

miguel.soares@incentea.com

Áustria

VIOLAÇÃO: Monitorização do espaço público.

VALOR: €4800,00 (quatro mil e oitocentos euros).

DATA: 19 de setembro 2018

FONTE: https://www.pressreader.com/austria/salzburger-nachrichten/20180919/281801399873241

AUTORIDADE DE CONTROLO: Austrian Data Protection Authority (DSB).

EMPRESA: Não identificada.

CENÁRIO: Um comerciante local tinha uma câmara de CCTV a capturar demasiado espaço público.

Portugal

VIOLAÇÃO: Violação do princípio da integridade e confidencialidade. Violação do princípio da minimização de dados. Violação do princípio da

responsabilidade.

VALOR: €400,000 (quatrocentos mil euros).

DATA: 19 de outubro 2018.

FONTE: http://exameinformatica.sapo.pt/noticias/mercados/2018-10-19-CNPD-Hospital-do-Barreiro-multado-em-400-mil-euros-por-permitir-

acessos-indevidos-a-processos-clinicos

AUTORIDADE DE CONTROLO: CNPD

EMPRESA: Centro Hospitalar Almada e Barreiro

CENÁRIO: Inexistência de regras internas para a criação de contas ou para os diferentes níveis de acesso à informação clínica. Não garantir

que as contas de médicos que já não estão a trabalhar no Barreiro são eliminadas. Profissionais com funções na área dos serviços sociais

dispor de acessos que devem ser da exclusividade dos médicos. Não aplicar as medidas técnicas e organizativas indispensáveis à identificação

e autenticação dos utilizadores, bem como à gestão e delimitação dos seus perfis de acesso à informação, estratificando-os de acordo com os

diferentes privilégios de acesso correspondentes às categorias profissionais dos seus trabalhadores e ainda à garantia da segurança da

informação, para além de lhe não dispor de um sistema de auditoria fiável de tais identificações, acessos e garantias de segurança.

Alemanha

VIOLAÇÃO: Não cumprimento do artigo 32º 1 a) do RGPD.

VALOR: €20,000 (vinte mil euros).

DATA: 27 de novembro 2018

FONTE: https://www.welivesecurity.com/2018/11/27/german-chat-site-faces-fine-gdpr/

AUTORIDADE DE CONTROLO:

EMPRESA: https://www.knuddels.de/

CENÁRIO: A plataforma social Knuddels armazenava as palavras-passe dos utilizadores em “clear text” sem hashing, ou seja, sem qualquer

proteção de segurança.

Portugal

VIOLAÇÃO: Não cumprimento do artigo 15º do RGPD “Direito de acesso”.

VALOR: €20,000 (vinte mil euros).

DATA: 24 de fevereiro 2019.

FONTE: https://www.publico.pt/2019/02/24/sociedade/noticia/notificadas-222-violacoes-dados-pessoais-nove-meses-1863162

AUTORIDADE DE CONTROLO: CNPD

EMPRESA: Não identificada.

CENÁRIO: Uma empresa recusou-se a dar acesso à gravação de uma chamada a um cidadão.

Polónia

VIOLAÇÃO: Não cumprimento do artigo 14º do RGPD “Informações a facultar quando os dados pessoais não são recolhidos junto do titular”.

VALOR: €220,000 (duzentos e vinte mil euros).

DATA: 26 de março 2019.

FONTE: https://uodo.gov.pl/en/553/1009

AUTORIDADE DE CONTROLO: Personal Data Protection Office (UODO).

EMPRESA: https://www.bisnode.com/

CENÁRIO: Uma empresa de marketing digital sediada na Suécia, mas com escritório na Polónia, a BISNODE, recorre à extração de contactos

de páginas web de domínio público tendo recolhido endereços postais de 6 milhões de pessoas e endereços de email de cerca de 679 mil

pessoas. Para os que tinham endereço de correio eletrónico informou-os dando cumprimento ao artigo 14º, não o tendo feito para os que não

tinham.

Dinamarca

VIOLAÇÃO: Deficiente pseudonimização. Não respeito pelo princípio da minimização. Dados pessoais conservados sem uma finalidade

determinada, explícita e legitima.

VALOR: 1,2 milhões de coroas dinamarquesas (2,8% do volume anual de negócios).

DATA: 27 de março 2019.

FONTE: https://news.bloomberglaw.com/privacy-and-data-security/denmark-recommends-first-fine-under-new-eu-privacy-law

AUTORIDADE DE CONTROLO: Data Protection Authority Datatilsynet (DPA).

EMPRESA: https://www.taxa.dk/

CENÁRIO: A TAXA 4x35 pseudonimiza as informações dos clientes depois de dois anos, mas a autoridade descobriu que havia apenas

excluído os nomes dos clientes, mantendo os números de telefone por mais três anos para salvaguardar a integridade referencial da base de

dados. Para a DPA “não se pode definir um prazo de apagamento que seja três anos mais longo que o necessário, simplesmente porque o

sistema informático da empresa dificulta o cumprimento das regras”. A TAXA 4x35 apagou o nome dos clientes, mas os mesmos continuavam

identificáveis através do número de telefone.